¿Qué es el cumplimiento de los datos?

Los estándares de cumplimiento de los datos pueden variar según el sector, la región y el país, pero a menudo implican objetivos similares. Estos objetivos pueden incluir:

• Garantizar la exactitud de los datos
• Ofrecer a los ciudadanos transparencia y conocimiento de sus derechos en materia de datos
• Protección de información sensible, como datos personales e información de tarjetas de crédito, contra accesos no autorizados o vulneraciones de datos
• Realizar un seguimiento del almacenamiento de datos, incluido el tipo de datos que almacena una organización, cuántos almacena y cómo se gestionan a lo largo de su ciclo de vida.

Algunas de las regulaciones de cumplimiento de datos más comunes incluyen el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la California Consumer Privacy Act (CCPA). 

El incumplimiento de estas regulaciones puede aumentar los riesgos de ciberseguridad y costar a las organizaciones multas significativas, sanciones legales y daños a la reputación. Por esta razón, el cumplimiento de los datos a menudo se considera un componente crítico de la estrategia general de gobierno de datos y gestión de riesgos de una organización. 

El cumplimiento de los datos se denomina a veces erróneamente cumplimiento de la seguridad de los datos, que está estrechamente relacionada con el cumplimiento de los datos, pero constituye un subconjunto más pequeño dentro de ella.

Mientras que el cumplimiento de los datos abarca el conjunto más amplio de normas y reglamentos que las organizaciones deben cumplir al gestionar datos, el cumplimiento de la seguridad de los datos se centra específicamente en los aspectos de seguridad de la gestión de datos, incluida la protección de los datos frente a accesos no autorizados, infracciones y otras amenazas a la seguridad mediante la aplicación de soluciones de seguridad de datos, como cifrado, controles de acceso, firewalls, auditorías de seguridad, etc.

Dicho de otro modo, el cumplimiento de los datos incluye todos los aspectos del cumplimiento de la seguridad de los datos, mientras que el cumplimiento de la seguridad de los datos no incluye todos los aspectos del cumplimiento de los datos.

Para comprender la importancia del cumplimiento de los datos, pensemos en nuestra era de big data. Cada vez que alguien pulsa una pantalla, navega por un sitio web o pasea por la calle, con el móvil en la mano, deja un rastro creciente de datos personales. Al mismo tiempo, las organizaciones están cambiando hacia servicios en la nube y aplicaciones digitales como parte de su transformación digital y acumulando conjuntos de datos cada vez mayores. Como es lógico, todos estos datos pueden ser increíblemente valiosos para las organizaciones, ya que les ayudan a convertirlos en información para tomar mejores decisiones empresariales.

Sin embargo, una mayor cantidad de datos también implica una mayor cantidad de vulnerabilidades y una superficie más amplia para los ciberataques. Según el Informe "Cost of a Data Breach" de IBM, el coste medio mundial de una vulneración de datos en 2023 fue de 4,45 millones de dólares, un aumento del 15 % en tres años.

El cumplimiento de los datos ayuda a mitigar estas amenazas y a mantener a salvo los datos de los clientes. Establece un conjunto de controles (o normas de cumplimiento de los datos) que las organizaciones y las personas deben seguir al gestionar datos. El objetivo de estos requisitos de cumplimiento es crear salvaguardias que garanticen la protección de los datos y eviten su uso indebido. El cumplimiento de los datos también puede ayudar a organizaciones y particulares a desarrollar políticas y procedimientos para manejar los datos de forma más responsable.

Debido a estos numerosos beneficios, las organizaciones suelen invertir en el cumplimiento de los datos de forma voluntaria y proactiva, no solo por necesidad. Las organizaciones reconocen que el cumplimiento de los datos puede ayudarles a fomentar la confianza de los clientes y construir su reputación como administradores transparentes y responsables de los datos personales.

Es más: el cumplimiento de datos suele ayudar a las empresas a aumentar su seguridad y mejorar su eficacia y rentabilidad. Las empresas pueden reforzar de forma más eficaz las vulnerabilidades que las exponen a un mayor riesgo de vulneración de datos mediante la implantación de normas estrictas de cumplimiento de la legislación en materia de datos. Además, un sólido programa de cumplimiento de datos no solo garantiza la seguridad de los datos, sino que también mantiene su precisión y reduce los costosos errores. Con una gestión de datos eficaz, las organizaciones no solo reducen el tiempo y los recursos dedicados a la detección y la corrección de datos, sino que también son más eficientes y ágiles a la hora de extraer información de sus propios conjuntos de datos. 

Muchas organizaciones también descubren que contar con un sólido programa de cumplimiento de datos facilita el cumplimiento de los estándares de cumplimiento de protección de datos, que se han actualizado con más frecuencia que en el pasado. Estas normas incluyen SOC 2, CSA STAR, ISO 27001, 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), etc.

A medida que los gobiernos y otras entidades siguen centrándose en la seguridad de los datos, ha ido creciendo el número de normativas sobre protección y cumplimiento de datos que las empresas deben cumplir para hacer negocios con sus clientes objetivo.

Algunos de los reglamentos y normas más comunes en materia de cumplimiento de datos son:

La Ley de Portabilidad y Responsabilidad del Seguro Médico, o HIPAA, es un texto legislativo crítico que se aprobó en Estados Unidos en 1996. Establece las directrices sobre cómo las entidades sanitarias y las empresas manejan la información sanitaria de los pacientes para garantizar su confidencialidad y seguridad.

Todas las entidades que entran en la categoría de "entidades cubiertas", según la definición de la HIPAA, deben respetar las normas de seguridad de datos y cumplimiento de la HIPAA. Estas entidades abarcan no solo a los proveedores sanitarios y los planes de seguros, sino también a los asociados comerciales con acceso a la PHI, incluidos los proveedores de servicios de transmisión de datos, los proveedores de servicios de transcripción médica, las empresas de software, las compañías de seguros, etc.

El Reglamento General de Protección de Datos (RGPD) es un marco integral de protección de datos promulgado por la Unión Europea para salvaguardar la información personal de sus ciudadanos. 

El RGPD se centra principalmente en la información de identificación personal (PII) e impone estrictos requisitos de cumplimiento a los proveedores de datos. Obliga a las organizaciones de dentro y fuera de Europa a ser transparentes sobre sus prácticas de recopilación de datos, otorgando a las personas un mayor control sobre su PII.

Uno de los aspectos más llamativos del RGPD es su postura inflexible ante el incumplimiento. Impone multas sustanciales a quienes no se adhieran a su normativa sobre privacidad y cumplimiento de las normas sobre datos. Estas multas pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros, la cantidad que sea mayor.

Por este motivo, el RGPD ha provocado que las empresas de todo el mundo reevalúen sus prácticas de recopilación y tratamiento de datos, haciendo hincapié en la importancia de un cumplimiento y una seguridad sólidas de los datos.

La California Consumer Privacy Act (CCPA) es una ley de protección de datos histórica en Estados Unidos, similar al RGPD.

Al igual que el RGPD, también hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal. En virtud de la CCPA, los residentes en California pueden solicitar detalles sobre los datos que recogen sobre ellos las empresas, optar por no recibir ventas de datos y solicitar su supresión.

Sin embargo, a diferencia de RGPD, CCPA y muchas otras leyes estadounidenses de protección de datos son de exclusión y no de suscripción, lo que significa que las empresas pueden utilizar la información de los consumidores en California hasta que se indique específicamente lo contrario. La CCPA también se aplica únicamente a las empresas que superan un umbral específico de ingresos anuales o gestionan grandes volúmenes de datos personales, lo que la hace pertinente para muchas empresas californianas, aunque no para todas.

Desde la entrada en vigor de la CCPA, las organizaciones han reevaluado activamente sus procesos de tratamiento de datos y han adoptado estrategias integrales de protección de datos para cumplir los requisitos de cumplimiento.

La Ley Sarbanes-Oxley (SOX) es un texto legislativo promulgado en respuesta a escándalos empresariales como los de Enron y WorldCom. Su principal objetivo es aumentar la transparencia y la responsabilidad de las empresas. En virtud de la SOX, todas las empresas que cotizan en bolsa en Estados Unidos deben cumplir estrictas normas de información financiera y gobierno.

Algunas de las disposiciones más importantes de la SOX son la obligación de que los CEO y CFO certifiquen personalmente la exactitud de los estados financieros y la creación de comités de auditoría independientes. La SOX también introduce rigurosas medidas de control interno para garantizar la fiabilidad de los datos financieros, al mismo tiempo que aumenta significativamente las sanciones por mala conducta empresarial y fraude.

Aunque la SOX se ocupa principalmente de los informes financieros, sigue siendo una consideración de cumplimiento vital, y las organizaciones de TI deben ser conscientes de ello para garantizar informes financieros precisos y oportunos.

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS) es un conjunto de directrices regulatorias para proteger los datos de las tarjetas de crédito. A diferencia de las regulaciones del gobierno, el PCI-DSS consiste en compromisos contractuales que aplica un organismo regulador independiente, el Payment Card Industry Security Standards Council.

El PCI-DSS se aplica a cualquier empresa que maneje datos de titulares de tarjetas, ya sea mediante su aceptación, almacenamiento o transmisión. Aunque un servicio de terceros intervenga en las transacciones con tarjeta de crédito, la empresa sigue siendo responsable del cumplimiento del PCI-DSS y debe tomar las medidas necesarias para gestionar y almacenar de forma segura los datos de los titulares de tarjetas.

Los siguientes pasos pueden ayudar a las organizaciones a establecer un sólido programa de cumplimiento de datos que satisfaga los requisitos de cumplimiento y proteja la información sensible. 

Muchas de ellas son medidas que las organizaciones pueden adoptar inmediatamente, mientras que otras requieren una planificación a más largo plazo. Se espera que, con la planificación y la atención adecuadas, las organizaciones no solo puedan cumplir las normas de cumplimiento de datos y garantizar la protección de los mismos, sino también reforzar su seguridad general de la información y protegerse a sí mismas y a sus clientes de forma más eficaz frente a las vulneraciones de datos, el uso indebido de los mismos y otras formas de acceso no autorizado.

• Cumplimiento de datos: empiece por conocer las normas de cumplimiento de datos pertinentes para su organización, que generalmente dependen de su sector y ubicación geográfica.
• Inventario de datos: elabore un inventario de los tipos de datos que recopila, dónde se almacenan y quién tiene acceso a ellos.

• Controles de acceso: implemente sólidos controles de acceso para restringir el acceso a los datos al personal autorizado, lo que implicará la autenticación de usuarios, el acceso basado en funciones y el cifrado de datos sensibles. Un programa moderno de gestión de identidades y accesos puede ayudar en este sentido.

• Almacenamiento de datos: tome medidas para garantizar que sus datos se almacenan de forma segura, tanto física como digitalmente, lo que puede implicar la implementación de soluciones de almacenamiento cifrado, firewalls y registros de acceso.

• Formación sobre cumplimiento: instruya al personal sobre el cumplimiento de datos para asegurarse de que comprenden la normativa y la importancia de la protección de los datos. Las sesiones de formación periódicas también pueden ayudar a todos a mantenerse informados sobre buenas prácticas.

• Política de tratamiento de datos: establezca políticas y procedimientos de seguridad transparentes en toda su organización sobre cómo tratar los datos de forma responsable y asegúrese de que todo el mundo conoce las prácticas correctas de gestión de datos.

• Auditorías periódicas: realice auditorías periódicas para verificar la eficacia y actualidad de sus medidas de cumplimiento de datos e identificar posibles vulnerabilidades y áreas que necesiten mejoras.

• Plan de respuesta ante la vulneración de datos: elabore un plan de respuesta a la vulneración de datos bien definido para prepararse ante una vulneración. Saber responder con eficacia y rapidez es crucial para minimizar los daños y cumplir los requisitos de los marcos de cumplimiento.